img

F0und

别太努力,没什么用 | f0und@foxmail.com

SSTI 模版注入学习(CTF)

2021-08-11 13:42    CTF Web   1920 阅读   0条回复

0x10 SSTI1 什么是SSTI? 服务器端模板注入 SSTI就是 服务器端模板注入 (Server-Side Template Injection),也给出了一个注入的概念,通过与服务端模板的 输入输出 交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的,目前CTF常见的SSTI题中,大部分是考python的。(并不全是python) 模板引擎(这里特指...

SSRF 漏洞常见利用方式(CTF)

2021-08-11 13:38    CTF Web   2876 阅读   0条回复

SSRF 漏洞常见利用方式 0x10 SSRF1 题目考点: SSRF中file协议的使用 题目源码: <?php highlight_file(__FILE__); function curl($url){ $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_HEADER, 0);...